Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Elevate
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Les entreprises françaises réalisent que la sécurité ne se joue plus seules. Le risque fournisseur, longtemps vu comme un souci de contrat ou d’IT, devient un enjeu commun. L’Observatoire TPRM 2025 du CESIN et de Board of Cyber raconte ce tournant : la confiance n’est plus une option, c’est une stratégie.
Il y a encore cinq ans, le risque lié aux prestataires ne sortait guère des notes de bas de page. Désormais, il s’invite à la table du Comex. Plus de 80 % des organisations françaises jugent la menace critique. Les raisons ? Des chaînes d’approvisionnement tentaculaires, une dépendance au cloud, et des réglementations qui tombent les unes après les autres : NIS2, DORA, AI Act. Les RSSI tiennent toujours la barre, mais ils ne sont plus seuls à bord. Achats, juridique, directions générales : tout le monde met la main au clavier. Presque 60 % des entreprises gèrent le risque fournisseur au niveau du siège. Autrement dit, la sécurité quitte la technique pour entrer dans la gouvernance.
Sur le papier, tout avance. Sur le terrain, c’est moins linéaire. La moitié des entreprises n’audite qu’une vingtaine de partenaires par an. Et la grande majorité concentre l’effort sur les plus gros contrats, faute de bras et de temps. Plans d’assurance sécurité, certifications ISO, questionnaires, notations… chaque acteur bricole sa méthode. Mais dans 35 % des cas, personne ne sait vraiment à quel rythme vérifier. Quant aux PME sous-traitantes, elles naviguent souvent à vue. “Elles veulent bien faire, mais les moyens manquent”, glisse un RSSI d’un grand groupe industriel. Les obstacles, tout le monde les connaît. Trop peu de monde pour tout faire, pas assez de budget pour automatiser. Et une montagne de paperasse. Résultat : les RSSI passent leur temps à collecter des données qu’ils n’ont pas le loisir d’exploiter. Un cercle vicieux bien connu.
Faire ensemble, enfin
C’est la partie la plus intéressante du rapport : la bascule vers la mutualisation. Huit entreprises sur dix se disent prêtes à partager leurs évaluations fournisseurs, si un cadre commun voit le jour. L’idée : arrêter de réinventer la roue, et s’appuyer sur une base de confiance commune. Ce modèle, porté par le CESIN et Board of Cyber, répond à deux urgences : le manque d’experts et l’empilement des obligations. Une sorte de “passeport de sécurité” partagé, plus efficace que des audits en série. Automatisation, suivi en temps réel, alertes dynamiques : la technique suivra. Ce qui manque encore, c’est la coordination. “Le but n’est pas d’ajouter des contrôles, mais d’instaurer un climat de transparence durable”, rappelle le CESIN. Autrement dit, la cybersécurité des tiers n’est plus seulement un coût : c’est un investissement collectif. Et peut-être la seule voie réaliste pour tenir face à la complexité du monde numérique. À force d’interdépendance, la cybersécurité devient un bien commun. Ce n’est plus un mur, c’est un lien. Les entreprises qui l’auront compris n’auront pas simplement coché la case conformité : elles auront gagné un avantage que les autres n’auront pas : la confiance.
